nginx反向代理后,在应用中取得的ip都是反向代理服务器的ip,取得的域名也是反向代理配置的url的域名,解决该问题,需要在nginx反向代理配置中添加一些配置信息,目的将客户端的真实ip和域名传递到应用程序中。
nginx反向代理配置时,一般会添加下面的配置:
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header REMOTE-HOST $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
其中第一行关于host的配置,是关于域名传递的配置,余下跟IP相关。
话不多说直接贴出Nginx实例代码:
upstream这个模块提供一个简单方法来实现在轮询和客户端IP之间的后端服务器负荷平衡。 upstream abc.com { server 127.0.0.1:8080; server 127.0.0.1:80; server 127.0.0.1:8000; } server { listen 80; server_name www.test.com; location / { proxy_pass http://abc.com; proxy_set_header Host $host;#保留代理之前的host proxy_set_header X-Real-IP $remote_addr;#保留代理之前的真实客户端ip proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header HTTP_X_FORWARDED_FOR $remote_addr;#在多级代理的情况下,记录每次代理之前的客户端真实ip proxy_set_header X-Forwarded-Proto $scheme; #表示客户端真实的协议(http还是https) proxy_redirect default;#指定修改被代理服务器返回的响应头中的location头域跟refresh头域数值 }
php中取得客户端真实IP:
- /**
- * 获取客户端ip
- */
- function getClientIP() {
- $ip = "unknown";
- /*
- * 访问时用localhost访问的,读出来的是“::1”是正常情况。
- * ::1说明开启了ipv6支持,这是ipv6下的本地回环地址的表示。
- * 使用ip地址访问或者关闭ipv6支持都可以不显示这个。
- * */
- if (isset($_SERVER)) {
- if (isset($_SERVER["HTTP_X_FORWARDED_FOR"])) {
- $ip = $_SERVER["HTTP_X_FORWARDED_FOR"];
- } elseif (isset($_SERVER["HTTP_CLIENT_ip"])) {
- $ip = $_SERVER["HTTP_CLIENT_ip"];
- } else {
- $ip = $_SERVER["REMOTE_ADDR"];
- }
- } else {
- if (getenv('HTTP_X_FORWARDED_FOR')) {
- $ip = getenv('HTTP_X_FORWARDED_FOR');
- } elseif (getenv('HTTP_CLIENT_ip')) {
- $ip = getenv('HTTP_CLIENT_ip');
- } else {
- $ip = getenv('REMOTE_ADDR');
- }
- }
- if(trim($ip)=="::1"){
- $ip="127.0.0.1";
- }
- return $ip;
- }
java取得客户端真实IP:
- public String getClientIP(HttpServletRequest request) {
- String ip = request.getHeader("x-forwarded-for");
- if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
- ip = request.getHeader("Proxy-Client-IP");
- }
- if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
- ip = request.getHeader("WL-Proxy-Client-IP");
- }
- if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
- ip = request.getRemoteAddr();
- }
- return ip;
- }
php取得域名:
- $_SERVER['SERVER_NAME'];
java取得域名:
- request.getServerName()
具体场景:
在请求到达后端服务之前,会经过层层代理的转发。
(CDN反代之后的客户真实ip的取得-使用正则进行匹配,如有问题,请及时指出。)
一般的解决方案:
proxy_set_header Host $host;
proxy_set_header X-real-ip $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
后端服务获取客户端真实IP的方法:
request.getAttribute("X-real-ip")
现象:
后端服务获取到的IP并不是客户端真实IP,而是某一级代理的IP。
分析:
从CDN开始,每经过一个代理做一次转发,x_forwarded_for就会在后面追加一个代理IP。请求到达nginx时,x_forwarded_for已经变成一个以逗号分隔的ip串,并且以转发顺序排序。
nginx的内置变量remote_addr仅能代表nginx的上一层代理的IP,现有的nginx配置将该值赋给X_Real_Ip,那么后端获取到的X_Real_Ip也是nginx上一层代理的IP,而不是客户端真实IP。
解决方案:
x_forwarded_for中的IP串,第一个IP即可代表客户端真实IP,因此可在nginx上对x_forwarded_for做一个正则匹配,获取第一个逗号之前的IP赋值给X-real-ip,从而达到不需要修改应用即可获取客户端真实IP的目的。
示例配置如下:
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
set $Real $http_x_forwarded_for;
if ( $Real ~ (\d+)\.(\d+)\.(\d+)\.(\d+),(.*) ){
set $Real $1.$2.$3.$4;
}
proxy_set_header X-Real-Ip $Real;